当前位置:操作系统 > Windows 2003 >>

Windows Server 2003安全事件ID分析

根据下面的ID,可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。

一、帐户登录事件

下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。

672:已成功颁发和验证身份验证服务 (AS) 票证。

673:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。

674:安全主体已更新 AS 票证或 TGS 票证。

675:预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。

676:身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

677:TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

678:帐户已成功映射到域帐户。

681:登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

682:用户已重新连接至已断开的终端服务器会话。

683:用户未注销就断开终端服务器会话。

二、帐户管理事件

下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。

624:用户帐户已创建。

627:用户密码已更改。

628:用户密码已设置。

630:用户帐户已删除。

631:全局组已创建。

632:成员已添加至全局组。

633:成员已从全局组删除。

634:全局组已删除。

635:已新建本地组。

636:成员已添加至本地组。

637:成员已从本地组删除。

638:本地组已删除。

639:本地组帐户已更改。

641:全局组帐户已更改。

642:用户帐户已更改。

643:域策略已修改。

644:用户帐户被自动锁定。

645:计算机帐户已创建。

646:计算机帐户已更改。

647:计算机帐户已删除。

648:禁用安全的本地安全组已创建。

注意:

从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。

649:禁用安全的本地安全组已更改。

650:成员已添加至禁用安全的本地安全组。

651:成员已从禁用安全的本地安全组删除。

652:禁用安全的本地组已删除。

653:禁用安全的全局组已创建。

654:禁用安全的全局组已更改。

655:成员已添加至禁用安全的全局组。

656:成员已从禁用安全的全局组删除。

657:禁用安全的全局组已删除。

658:启用安全的通用组已创建。

659:启用安全的通用组已更改。

660:成员已添加至启用安全的通用组。

661:成员已从启用安全的通用组删除。

662:启用安全的通用组已删除。

663:禁用安全的通用组已创建。

664:禁用安全的通用组已更改。

665:成员已添加至禁用安全的通用组。

666:成员已从禁用安全的通用组删除。

667:禁用安全的通用组已删除。

668:组类型已更改。

684:管理组成员的安全描述符已设置。

注意:

在域控制器上,每隔 60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。

685:帐户名称已更改。

 

[1] [2] [3] 下一页  

[page_break]

 

三、目录服务访问事件

下面显示了由"审核目录服务访问"安全模板设置所生成的安全事件。

566:发生了一般对象操作。

四、登录事件ID

528:用户成功登录到计算机。

529:登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。

530:登录失败。试图在允许的时间外登录。

531:登录失败。试图使用禁用的帐户登录。

532:登录失败。试图使用已过期的帐户登录。

533:登录失败。不允许登录到指定计算机的用户试图登录。

534:登录失败。用户试图使用不允许的密码类型登录。

535:登录失败。指定帐户的密码已过期。

536:登录失败。Net Logon 服务没有启动。

537:登录失败。由于其他原因登录尝试失败。

注意:

在某些情况下,登录失败的原因可能是未知的。

538:用户的注销过程已完成。

539:登录失败。试图登录时,该帐户已锁定。

540:用户成功登录到网络。

541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。

542:数据频道已终止。

543:主要模式已终止。

注意:

如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止,则会发生此情况。

544:由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。

545:由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。

546:由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。

547:在 IKE 握手过程中,出现错误。

548:登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。

549:登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。

550:可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。

551:用户已启动注销过程。

552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。

682:用户已重新连接至已断开的终端服务器会话。

683:用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。

<
CopyRight © 2022 站长资源库 编程知识问答 zzzyk.com All Rights Reserved
部分文章来自网络,